我没有这个可以检查,因为我不是操作系统管理员。我猜想 Active Directory (AD) 中为日志存储设置了一些默认时间。我对用户登录/退出存储的日志特别感兴趣。我需要检查这些日志,因为一些 AD 用户已被删除,但我必须找出他们上次实际登录系统的时间。
答案1
默认墓碑寿命设置(天):
- Windows 2000 或 Windows Server 2003 RTM:60
- 服务器 2003 SP1:180
- Server 2003 R2:60 或 180
- Server 2003 SP2、Server 2003 R2 SP2 及更高版本:180
- Windows Server 2008 及更高版本 180
确定实际系统的墓碑寿命设置:
dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<FQDN>" -scope base -attr tombstonelifetime
获取已删除的对象:
Ldifde -u -x -f <FileName.txt>
-u
使用 Unicode 格式
-x
包括已删除的对象(墓碑)
查找已删除的用户:
- 在
<FileName.txt>
搜索\0ADEL
字符串或时CN=Deleted Objects
。 - 或使用 GUI:使用
ldp.exe
并查找CN=Deleted Objects
。
获取未删除用户的用户名和时间戳:
dsquery * -limit 0 -filter "&(objectClass=User)(objectCategory=Person)" -attr sAMAccountName lastlogontimestamp
如果需要更多数据,请使用-attr *
。
要将收到的时间戳转换为日期,请使用以下命令:
w32tm /ntte 130722669980039000
输出:
151299 09:16:38.0039000 - 31.03.2015 12:16:38 (local time)